Les cibles du groupe FamousSparrow, récemment découvert par ESET Research, sont multiples. Et parmi les hôtels, entreprises, gouvernements ou cabinets d'avocats visés, certains se trouvent en France.
Les spécialistes en cybersécurité d'ESET Research nous annonce avoir découvert un nouveau groupe de cyberespionnage, baptisé FamousSparrow. Celui-ci serait tout de même actif depuis 2019 et s'attaque à des hôtels du monde entier, mais aussi à des entreprises internationales, des gouvernements, des cabinets d'avocats et des sociétés d'ingénierie. L'espionnage informatique resterait le principal objectif du groupe.
Les vulnérabilités ProxyLogon Exchange ont entraîné bien des conséquences, partout dans le monde
FamousSparrow frappe la plupart des régions du globe. ESET Research évoque ainsi, parmi les pays victimes, la France, la Lituanie et le Royaume-Uni pour l'Europe ; le Brésil, le Canada et le Guatemala pour l'Amérique, Israël et l'Arabie Saoudite pour le Moyen-Orient ; Taïwan pour l'Asie et le Burkina Faso pour l'Afrique.
On apprend à la lecture de l'enquête menée par l'entreprise spécialisée en cybersécurité que FamousSparrow a exploité les vulnérabilités ProxyLogon de Microsoft Exchange, failles déjà signalées par ESET en mars dernier. Pour mémoire, cette chaîne de vulnérabilité fut exploitée par une dizaine de groupes de cybercriminels, tous passés par l'accès au serveur Exchange pour exécuter du code à distance et ensuite prendre le contrôle de serveurs de messagerie Exchange partout dans le monde, afin de dérober des données de réseau.
Le groupe FamousSparrow aurait commencé à exploiter les vulnérabilités ProxyLogon à compter du 3 mars 2021, soit dès le lendemain de la publication des quatre correctifs par Microsoft. Au moins un autre groupe APT (ces groupes spécialisés dans les attaques sournoises destinées à l'espionnage et au vol de données) a donc pu avoir accès aux informations de la chaîne de vulnérabilités ProxyLogon.
Un groupe distinct, mais qui conserve des liens avec d'autres
Pour Matthieu Faou, le chercheur d'ESET qui a découvert FamousSparrow (en compagnie de Tahseen Bin Taj), l'information de l'exploitation des vulnérabilités ProxyLogon est le « signe qu'il est essentiel de corriger rapidement les applications connectées à Internet, ou lorsqu'une correction n'est pas possible, de ne pas les exposer du tout à Internet ».
Le groupe FamousSparrow serait aujourd'hui le seul à utiliser une porte dérobée personnalisée, découverte ces derniers mois par ESET et baptisée Sparrow Door. Le groupe utiliserait par ailleurs deux versions personnalisées de Mimikatz, un outil de post-exploitation aussi bien utile pour attaquer que pour défendre des systèmes Windows, et qui aiderait à relier d'autres incidents avec FamousSparrow.
Si FamousSparrow a tout d'une entité distincte, le collectif de cybercriminels aurait tout de même des liens avec d'autres groupes ATP connus.
Source : ESET Research
